내가 만든 사이트, 해킹 위험 없을까? /security-review로 배포 전 5분 보안 점검

바이브코딩으로 뚝딱 만든 로그인 폼, 고객 정보 입력 페이지... 잘 돌아가는 건 확인했는데 "이거 해킹당하면 어쩌지?" 하는 불안은 가시지 않습니다. 보안은 전문 영역이라 입문자가 직접 챙기기 어렵거든요. /security-review는 그 점검을 AI한테 맡기는 명령입니다. 배포 직전 5분이면 돼요.

정의

/security-review는 코드의 보안 취약점(해킹 위험)을 집중 점검하는 명령입니다. 일반 코드 리뷰가 "잘 짰나"를 본다면, 이건 오직 "뚫릴 구멍이 없나"만 파고들어요. 주로 이런 위험을 짚어줍니다.

• 주입 공격(injection): 입력칸에 악성 코드를 넣어 시스템을 조종하는 공격
• 인증 허점: 로그인·권한 검사가 허술해 남의 정보에 접근되는 문제
• 데이터 노출: 비밀번호·API 키 같은 민감 정보가 새어 나가는 문제

사용법 (난이도별)

기초 — 보안 점검 돌리기

대화창에 입력합니다.

/security-review

그러면 클로드 코드가 최근 변경한 코드를 훑어 보안 위험을 분석합니다. 끝나면 "여기 입력값 검증이 빠졌습니다", "이 부분에 키가 그대로 노출됩니다" 같은 위험 항목 목록을 위험도와 함께 보여줘요. 무엇이 왜 위험한지, 어떻게 고치면 되는지까지 알려줍니다.

응용 — 배포 전 루틴으로 만들기

기능 완성했어. 배포 전에 /security-review 돌려줘

기능을 다 만든 뒤 출시하기 직전에 항상 한 번 돌리는 습관을 들이세요. 출시 체크리스트의 고정 항목으로 넣어두면, 보안 점검을 깜빡할 일이 없어집니다.

심화 — 품질·보안 이중 점검

/code-review

먼저 /code-review(코드 품질 리뷰)로 코드가 잘 짜였는지 본 다음, 이어서 보안을 점검합니다.

/security-review

품질 → 보안 순서로 두 번 거르면, 출시 전에 잡을 수 있는 문제를 거의 다 걸러낼 수 있어요.

흔한 함정 — "안 걸렸으니 안전하다"가 아닙니다

/security-review에서 아무것도 안 나왔다고 100% 안전한 건 아닙니다. 이건 흔한 위험을 빠르게 1차로 걸러주는 도구예요. 그래도 안 돌리는 것과는 하늘과 땅 차이입니다. 입력값 검증 누락 같은 초보자가 자주 놓치는 구멍은 확실히 잡아주거든요. '완벽한 보증'이 아니라 '값싼 1차 방어선'으로 생각하면 됩니다. 특히 고객 데이터를 다루는 코드라면 반드시 거치세요.

실전 사례

고객 문의를 받는 입력 폼을 만든 적이 있습니다. 화면상으론 잘 작동했는데, 배포 전에 /security-review를 돌려보니 입력값 검증이 빠진 부분을 짚어줬어요. 그대로 올렸다면 누군가 입력칸에 악성 코드를 넣어 장난칠 수 있는 상태였죠. 출시 전에 발견해서 막았고, 5분 투자로 사고 하나를 예방한 셈입니다.

이렇게 더 씁니다

• 배포 전 루틴: 출시 체크리스트의 고정 항목으로 매번 한 번씩.
• 이중 점검: /code-review(품질 리뷰) 후 /security-review(보안)로 두 번 거르기.
• 무엇을 보나: 주입 공격·인증 허점·민감 정보 노출 등 대표 위험을 점검.
• 고객 데이터 다룰 땐 필수: 폼·로그인·결제처럼 개인정보가 오가는 코드엔 꼭 돌리세요.

팁: 보안 보고서에서 위험을 발견하면 그 자리에서 "이 취약점 고쳐줘"라고 시키면 됩니다. 발견과 수정을 한 흐름으로 이어가세요.

정리

핵심은 한 문장입니다. 배포 전 보안 점검을 습관으로 만들어라. 보안은 전문가가 아니어도 /security-review 한 줄이면 1차 방어선을 칠 수 있어요. 특히 고객 정보를 다룬다면 선택이 아니라 필수입니다. 사고는 터지고 나면 늦어요 — 5분 점검이 가장 싼 예방책입니다.

기준: Claude Code v2.1.154 (2026.05)